Een nieuw onderzoek heeft bijna 200 unieke command-and-control (C2) domeinen opgegraven die verband houden met een malware genaamd Raspberry Robin.
“Raspberry Robin (ook bekend als Roshtyak of Storm-0856) is een complexe en evoluerende dreigingsacteur die initiële toegangsmakelaar (IAB) services biedt aan tal van criminele groepen, waarvan vele connecties hebben met Rusland,” zei Silent Push in een rapport gedeeld met het hacker-nieuws.
Sinds de opkomst in 2019 is de malware een leiding geworden voor verschillende kwaadaardige stammen zoals Socgholish, Dridex, Lockbit, Icedid, Bumblebee en Truebot. Het wordt ook wel een QNAP -worm genoemd vanwege het gebruik van gecompromitteerde QNAP -apparaten om de payload op te halen.
In de loop der jaren hebben Raspberry Robin-aanvalsketens een nieuwe distributiemethode toegevoegd waarbij het wordt gedownload via archieven en Windows-scriptbestanden die als bijlagen zijn verzonden met behulp van de Messaging Service Discord, om nog maar te zwijgen over het verwerven van eendaagse exploits om de escalatie van lokale privileges te bereiken voordat ze publiekelijk werden bekendgemaakt.
Er zijn ook enig bewijs dat suggereert dat de malware aan andere acteurs wordt aangeboden als een pay-per-install (PPI) BOTNet om de volgende fase malware te leveren.
Bovendien hebben Raspberry Robin-infecties een USB-gebaseerd propagatiemechanisme opgenomen dat het gebruik van een gecompromitteerde USB-drive met een Windows Shortcut (LNK) -bestand bevat vermomd als map om de implementatie van de malware te activeren.
De Amerikaanse regering heeft sindsdien onthuld dat de Russische natiestaatbedreigingsacteur die als Cadet Blizzard wordt gevolgd, Raspberry Robin mogelijk als een eerste toegangsfacilitator heeft gebruikt.
Silent Push vond in zijn nieuwste analyse samen met Team Cymru een IP -adres gevonden dat werd gebruikt als een gegevensrelais om alle gecompromitteerde QNAP -apparaten te verbinden, wat uiteindelijk leidde tot de ontdekking van meer dan 180 unieke C2 -domeinen.
“Het enkelvoudige IP -adres is verbonden via Tor Relays, wat waarschijnlijk is hoe netwerkexploitanten nieuwe commando’s hebben uitgegeven en interactie hadden met gecompromitteerde apparaten,” zei het bedrijf. “Het IP dat voor dit relais werd gebruikt, was gebaseerd in een EU -land.”
Een dieper onderzoek van de infrastructuur heeft aangetoond dat de Raspberry Robin C2 -domeinen kort zijn – bijvoorbeeld Q2 (.) RS, M0 (.) WF, H0 (.) WF en 2i (.) PM – en dat ze snel worden gedraaid tussen gecompromitteerde apparaten en door IPS met behulp van een techniek die een snelle flux heeft aangemerkt in een poging om het te maken.
Sommige van de beste Raspberry Robin top-niveau domeinen (TLD’s) zijn .wf, .pm, .re, .nz, .e, .gy, .tw en .cx, met domeinen geregistreerd met behulp van niche-registrars zoals Sarek Oy, 1Api GmbH, Netim, Epag (.) De, Centricnic Ltd, en open SRS. De meerderheid van de geïdentificeerde C2 -domeinen heeft naamservers op een Bulgaars bedrijf genaamd Cloudns.
“Het gebruik van Raspberry Robin door de Russische overheidsdreigingacteurs komt overeen met haar geschiedenis van het werken met talloze andere serieuze dreigingsactoren, van wie velen connecties hebben met Rusland,” zei het bedrijf. “Deze omvatten Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (DEV-0243), FAUPPOD, FIN11, CLOP GANG en LAAT TEMPEST (TA505).”
